ownCloud : une acquisition... et des failles de sécurité
Quel avenir pour le logiciel libre ownCloud ? L'entreprise commerciale fondée sur ce projet vient de changer de mains. Elle est passée dans le giron de Kiteworks (ex-Accellion), un groupe américain qui fait dans la sécurisation des échanges documentaires.
Parallèlement à l'annonce de ce rapprochement, trois failles de sécurité ont été signalées dans ownCloud.
L'une d'entre elles, qualifiée de critique, a une note de 9 sur l'échelle CVSSv3. Elle tient à un mauvais contrôle d'accès dans l'application OAuth 2 (< 0.6.1). En jouant sur l'URL de redirection, on peut contourner le code de validation et ainsi rediriger les callbacks vers un sous-domaine arbitraire.
Le correctif durcit le code en question. Il existe aussi une méthode de contournement : désactiver l'option autorisant les sous-domaines.
Autre vulnérabilité, autre score (9,8)... et autre problème d'authentification. En l'occurrence, sur l'API WebDAV (coeur ownCloud 10.6.0 - 10.13.0). Il est possible de lire, modifier ou supprimer tout fichier si on connaît un nom d'utilisateur et que celui-ci n'a pas de clé de signature associée - ce qui est le cas par défaut.
Le correctif interdit l'usage d'URL présignées en l'absence de clé de signature pour le propriétaire des fichiers.
ownCloud signale une faille à 10/10
La troisième faille atteint le score maximal de 10. Elle concerne l'extension Graph API (versions 0.2.0 à 0.3.0). Celle-ci ajoute un endpoint utilisateur basé sur la spec Microsoft Graph et ouvre la voie à des déploiements hybrides entre ownCloud Server et ownCloud Infinite Scale.
L'extension Graph API s'appuie sur une bibliothèque tierce qui fournit une URL. Cette dernière, lorsqu'on y accède, révèle les détails de configuration de l'environnement PHP (phpinfo). Cela inclut les variables d'environnement du serveur web.
Dans le cadre des déploiements en conteneurs, ces variables peuvent comprendre des données sensibles dont mot de passe admin, authentifiants de serveur mail et clé de licence. Désactiver l'extension n'élimine pas la faille. En revanche, les conteneurs Docker d'avant février 2023 ne sont pas vulnérables.
Le correctif supprime le fichier owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhPInfo.php. Il désactive par ailleurs la fonction phpinfo dans les conteneurs. En attendant d'autres mesures de renforcement dans de futures releases, ownCloud recommande de modifier mots de passe admin, authentifiants de serveur mail et de base de données, ainis que clés d'accès S3.
Illustration © ownCloud
Sur le même thème
Voir tous les articles Cybersécurité